Validar las firmas de los artefactos del driver

Instalar el software de cifrado

Debes instalar primero el GnuPG suite de cifrado para usar GPG en la línea de comandos. Puedes instalar GnuPG utilizando Homebrew.

Descargar e importar la clave pública

Navegue a la página de Lanzamientos en el repositorio de GitHub de los drivers JVM de MongoDB. Cada versión que se publica incluye instrucciones sobre cómo descargar e importar la llave pública para verificar firmas.

Descargue el archivo firmado

En tu terminal, ejecuta el curl comando para descargar el archivo firmado correspondiente a una versión del controlador. Por ejemplo, ejecutar el siguiente comando descarga el archivo firmado para la v5.1.0 driver:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar

Descargar la Firma del Archivo

En tu terminal, ejecuta el comando curl para descargar la firma del archivo correspondiente a una versión del controlador. Por ejemplo, ejecutar el siguiente comando descarga la firma del archivo para la v5.1.0 driver:

curl -LO https://repo.maven.apache.org/maven2/org/mongodb/mongodb-driver-core/5.1.0/mongodb-driver-core-5.1.0.jar.asc

Verifica la firma

Por último, puedes verificar la firma utilizando el paquete de cifrado. El siguiente comando de terminal usa gpg para verificar la firma del artefacto de la versión5.1.0 driver:

gpg --verify mongodb-driver-core-5.1.0.jar.asc mongodb-driver-core-5.1.0.jar

Si verificas correctamente la firma, verás un mensaje similar al siguiente:

gpg: Signature made Tue 30 Apr 12:05:34 2024 MDT
gpg:                using RSA key 76E0008D166740A8
gpg: Good signature from "MongoDB Java Driver Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1A75 005E 1421 9222 3D6A  7C3B 76E0 008D 1667 40A8